2023年企業(yè)內(nèi)部控制規(guī)范

企業(yè)內(nèi)部控制規(guī)范

前序

21世紀初，由于美國出現(xiàn)的大量的財務丑聞，致使用國會2002年草

擬并通過了《薩班斯一一奧克斯利法案》即（SOX法案），對企業(yè)內(nèi)部控制

作出了相應的規(guī)定，2006年美國國會正式啟動該法案，要求在美國上市的

公司必須在2006年7月15日開始執(zhí)行，也就是在當天，我國財政部別有

深意地發(fā)起了一個由財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)起

共同參與的“企業(yè)內(nèi)部控制標準委員會”（委員會主席是當時的財政部副部

長王軍，成員包括來自監(jiān)管部門、實務界和理論界的31位專家學者），標

志著我國內(nèi)部控制國際化時代的到來，“中國版的SOX法案”即將出爐。

企業(yè)內(nèi)部控制標準委員會于2007年3月2日公布了《企業(yè)內(nèi)部控制

規(guī)范》（征求意見稿）；2008年6月28日，財政部等5部委公布了《企業(yè)內(nèi)

部控制基本規(guī)范》,規(guī)定自2009年7月1日起先在上市公司范圍內(nèi)實施行，

鼓勵其他非上市公司的大中型企業(yè)執(zhí)行。隨后又發(fā)發(fā)布了三個配套指引，

分別為《內(nèi)部控制應用指引》、《企業(yè)內(nèi)部控制評價指引》、《企業(yè)內(nèi)部控制

審計指引》內(nèi)部控制基本規(guī)范及配套指引目錄.docx?！痘疽?guī)范》的發(fā)布，

標志著我國企業(yè)內(nèi)部控制規(guī)范體系建設取得重大突破，被視為經(jīng)企業(yè)會計

準則、審計準則之后的第三個重大里程碑。實施企業(yè)內(nèi)部控制基本規(guī)范的

意義：

1、確立我國企業(yè)內(nèi)部控制的基礎框架?；疽?guī)范堅持立足我國國情、

借鑒國際慣例，科學界定了內(nèi)部控制的內(nèi)涵、目標、原則、要素，對企業(yè)

貫徹落實科學發(fā)展觀、走長期可持續(xù)發(fā)展道路、促進經(jīng)濟健康運行、規(guī)范

資本市場秩序、完善現(xiàn)代企業(yè)制度起到提攜全局的作用，也是是完善我國

會計法規(guī)制度、推動我國會計與國際市場的趨同的必然發(fā)展。

2、有利于提高財務信息質(zhì)量，提升財務報告的有效性。健全的內(nèi)部

控制，可以保證會計信息的采集、歸類、記錄和匯總過程，從而真實地反

映企業(yè)的生產(chǎn)經(jīng)營活動的實際情況，并及時發(fā)現(xiàn)和糾正各種錯誤，從而保

證會計信息的真實性和準確性，體現(xiàn)資本市場“公開、公平、公正”的原

則、保護投資者合法權益具。

3、有效地防范企業(yè)經(jīng)營風險。在企業(yè)的生產(chǎn)經(jīng)營活動中，企業(yè)要達

到生存發(fā)展的目標，就必須對各類風險進行有效的預防和控制，內(nèi)部控制

作為企業(yè)管理的中樞環(huán)節(jié)，是防范企業(yè)風險最為行之有效的一種手段。它

通過對企業(yè)風險的有效評估，不斷加強對企業(yè)經(jīng)營薄弱環(huán)節(jié)的控制，把企

業(yè)的各種風險消滅在萌芽之中，是企業(yè)風險防范的一種最佳方法。

4維護財產(chǎn)和資源的安全完整。健全和完善內(nèi)部控制，能夠科學有效

地監(jiān)督和制約財產(chǎn)、物資的采購、計量、驗收等各個環(huán)節(jié)，從而確保財產(chǎn)

物資的安全完整。同時，可以利用會計、統(tǒng)計、業(yè)務等各部門的規(guī)劃及有

關報告，把企業(yè)的生產(chǎn)、營銷、財務等部門的工作結(jié)合在一起，從而使各

部門密切配合，充分發(fā)揮整體作用，以順利達到企業(yè)的經(jīng)營目標。

5、促進企業(yè)提高經(jīng)營效率和效益。健全有效的內(nèi)部控制，可以利用

會計、統(tǒng)計、業(yè)務等各部門的制度規(guī)劃及有關報告，把企業(yè)的生產(chǎn)、營銷、

財務等各部門及其工作結(jié)合在一起，從而使各部門密切配合，充分發(fā)揮整

體的作用，同時，由于嚴密的監(jiān)督與考核，能真實地反映工作實績，再配

合合理的獎懲制度，便能激發(fā)員工的工作熱情及潛能，從而提升企業(yè)經(jīng)營

管理水平、盈利能力和持續(xù)發(fā)展能力，提高整個企業(yè)經(jīng)營效率，增強公司

競爭力。

第一章總則

一、內(nèi)部控制概述

（-）內(nèi)部控制的定義

1、內(nèi)部控制的一般定義

一般講，內(nèi)部控制是指企、事業(yè)單位和機關團體等為提高經(jīng)營效率，充

分有效地獲取和使用各種資源，達到既定的管理目標，而在內(nèi)部實施組織管

理、計劃管理和程序管理，促使各個經(jīng)營環(huán)切充分發(fā)揮其相互制約、相互調(diào)

節(jié)作用的一種先進管理方法。其內(nèi)容包括五個方面：（1）內(nèi)部控制的主體（2）

內(nèi)部控制的客體（3）內(nèi)部控制的目標（4）內(nèi)部控制的方法和手段（5）內(nèi)

部控制的本質(zhì)。

2、《企業(yè)內(nèi)部控制基本規(guī)范》的定義（《基本規(guī)范》第三條）

內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實

現(xiàn)控制目標的過程。

（二）內(nèi)部控制的目標

1、合法合規(guī)性；

2、資產(chǎn)安全性；

3、財務信息的真實完整性；

4、效率效果性；

5、戰(zhàn)略實現(xiàn)性

（三）企業(yè)內(nèi)部控制規(guī)范的適用范圍（《基本規(guī)范》第二條）

凡是在中華人民共和國境內(nèi)設立的大中型企業(yè)都必須遵照本規(guī)范建立

和實施內(nèi)部控制。小企業(yè)和其他單位可以參照本規(guī)范建立與實施內(nèi)部控制，

不作強制要求。

關于企業(yè)的劃分標準，工信部、國家統(tǒng)計局、發(fā)展改革委、財政部研究

制定了《中小企業(yè)劃型標準規(guī)定》。各行業(yè)劃型標準.docx

二、企業(yè)內(nèi)部控制的原則（《基本規(guī)范》第四條）

（一）全面性原則

（二）重要性原則

（三）制衡性原則

1、治理結(jié)構的制衡

2、機構設置及權責分配的制衡

3、業(yè)務流程的制衡

（四）適應性原則

（五）成本效益原則

三、企業(yè)內(nèi)部控制的要素（《基本規(guī)范》第五條）

（一）內(nèi)部環(huán)境

內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎，一般包括治理結(jié)構、機構設置及

權責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。

1、治理結(jié)構、機構人員設置及權責分配

（1）治理結(jié)構（2）機構人員設置及權責分配（3）議事規(guī)則（4）獨

立董事制度。

2、內(nèi)部審計

（1）審計委員會（2）內(nèi)部審計機構設置和人員配備（3）內(nèi)部審計機

構的職權（4）內(nèi)部審計工作的獨立性（5）內(nèi)部審計機構與董事會或最高管

理層的關系（6）內(nèi)部審計機構的管理。

3、人力資源政策

（1）崗位職責與人力資源需求計劃（2）招聘、培訓與離職（3）人力

資源考核政策（4）薪酬及激勵政策。

4、企業(yè)文化

（1）現(xiàn)代管理理念和經(jīng)營哲學（2）價值觀和社會責任感（3）風險意

識（4）高級管理人員的職業(yè)操守和員工的行為守則。

5、法制觀念

（1）法制教育（2）法律顧問制度（3）重大法律糾結(jié)案件備案制度。

（二）風險評估

風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相

關的風險，合理確定風險應對策略。

（三）控制活動

控制活動是企業(yè)根據(jù)風險評估結(jié)果，采用相應的控制措施，將風險控制

在可承受度之內(nèi)。

（四）信息與溝通

信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息，

確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。

（五）內(nèi)部監(jiān)督

內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控

制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。

四、企業(yè)內(nèi)部控制的實施

（-）企業(yè)內(nèi)部控制建立的思路（《基本規(guī)范》第六條）

企業(yè)應當根據(jù)有關法律法規(guī)、本規(guī)范及其配套辦法，制定本企業(yè)的內(nèi)部

控制制度并組織實施。

1、內(nèi)控制度設計的步驟：

（1）分析流程；（2）分解流程；（3）分解作業(yè)；（4）風險評估；（5）

根據(jù)任務及風險評估結(jié)果，確定控制與控制點；（6）將任務落實到人，把握

授權制度；（7）運行、評價并修正。

2、內(nèi)部控制制度總體設計思路：

（1）內(nèi)部控制制度的設計應首先考慮企業(yè)的背景、戰(zhàn)略和目標。

（2）實現(xiàn)內(nèi)控制度目標的第一步是對內(nèi)控制度執(zhí)行進行計量或測試。

（3）內(nèi)控目標的第二步是將內(nèi)控制度執(zhí)行情況計量或測試的結(jié)果與內(nèi)

控制度進行比較，然后作出三項判斷。

（4）設計時特別注意的兩個問題

（5）控制者依據(jù)測試報告采取糾偏行動

（二）企業(yè)內(nèi)部控制實施的配套措施

1、信息技術的運用和信息系統(tǒng)的建立（《基本規(guī)范》第七條）

企業(yè)應當運用信息技術加強內(nèi)部控制，建立與經(jīng)營管理相適應的信息系

統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務和事項的自動控

制，減少或消除人為操縱因素。

2、激勵約束機制的實施（《基本規(guī)范》第八條）

企業(yè)應當建立內(nèi)部控制實施的激勵約束機制，將各責任單位和全體員工

實施內(nèi)部控制的情況納入績效考評體系，促進內(nèi)部控制的有效實施。

3、建立和實施監(jiān)督檢查和外部審計（《基本規(guī)范》第九、十條）

第九條規(guī)定：國務院有關部門可以根據(jù)法律法規(guī)、本規(guī)范及其配套辦法，

明確貫徹實施本規(guī)范的具體要求，對企業(yè)建立與實施內(nèi)部控制的情況進行監(jiān)

督檢查。

第十條規(guī)定：接受企業(yè)委托從事內(nèi)部控制審計的會計師事務所，應當根

據(jù)本規(guī)范及其配套辦法和相關執(zhí)業(yè)準則，對企業(yè)內(nèi)部控制的有效性進行審計,

出具審計報告。會計師事務所及其簽字的從業(yè)人員應當對發(fā)表的內(nèi)部控制審

計意見負責。

為企業(yè)內(nèi)部控制提供咨詢的會計師事務所，不得同時為同一企業(yè)提供內(nèi)

部控制審計服務。

第二章內(nèi)制環(huán)境

一、內(nèi)部環(huán)境概述

企業(yè)內(nèi)部控制的內(nèi)部環(huán)境包括公司的治理結(jié)構和議事規(guī)則、審計委員會、

內(nèi)部機構設置、崗位職責、業(yè)務流程、內(nèi)部審計、人力資源政策、職業(yè)道德

修養(yǎng)和專業(yè)勝任能力、企業(yè)文化、價值觀和社會責任感、法制觀念等。

二、治理結(jié)構、機構人員設置與權責分配

（-）治理結(jié)構（《基本規(guī)范》第十一條）

企業(yè)應當根據(jù)國家有關法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結(jié)構

和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職

責分工和制衡機制。

1、股東（大）會

股東（大）會享有法律法規(guī)和企業(yè)章程規(guī)定的合法權利，依法行使企業(yè)

經(jīng)營方針、籌資、投資、利潤分配等重大事項的表決權。

2、董事會

董事會對股東（大）會負責，依法行使企業(yè)的經(jīng)營決策權。

3、監(jiān)事會

監(jiān)事會對股東（大）會負責，監(jiān)督企業(yè)董事、經(jīng)理和其他高級管理人員

依法履行職責。

4、經(jīng)理

經(jīng)理負責組織、實施股東（大）會、董事會決議事項，主持企業(yè)的生

產(chǎn)經(jīng)營管理工作，經(jīng)理由董事會決定聘任或者解騁

（二）機構人員設置與權責分配（《基本規(guī)范》第十四條）

企業(yè)應當結(jié)合業(yè)務特點和內(nèi)部控制要求設置內(nèi)部機構，明確職責權限,

將權利與責任落實到各責任單位。

企業(yè)應當通過編制內(nèi)部管理手冊，使全體員工掌握內(nèi)部機構設置、崗位

職責、業(yè)務流程等情況，明確權責分配，正確行使職權。

1、機構人員設置的概述

企業(yè)的機構和人員設置是否科學合理將直接影響內(nèi)部控制目標的實現(xiàn),

所以機構和人員設置要堅持權責明確、相互制衡的原則。

2、權責分配概述

權現(xiàn)分配是在機構設置的基礎上，設立授權方式，明確各機構部門和人

員的權利和所承擔的責任。

3、機構設置與權責分配

企業(yè)應當根據(jù)經(jīng)營目標、職能劃分和管理要求，結(jié)合業(yè)務特點和內(nèi)部控

制要求設置內(nèi)部機構，明確各職能部門和分支機構以及基層作業(yè)單位的職責

權限，將權利和責任落實到責任單位，為內(nèi)部控制的有效實施創(chuàng)造良好條件。

企業(yè)設置內(nèi)部機構和崗位時，要實現(xiàn)不同機構和崗位之間的制衡。

(1)董事會

董事會負責內(nèi)部控制的建立健全和有效實施，加強對本企業(yè)內(nèi)部控制建

立和實施情況的指導和監(jiān)督。

(2)監(jiān)事會

監(jiān)事會對董事會建立與實施內(nèi)部控制進行監(jiān)督。

(3)董事會專門委員會

上市公司董事會可能按照股東大會的有關決議，設立戰(zhàn)略、審計、提名、

薪酬與考核等專門委員會。

(4)日常內(nèi)部控制管理機構

經(jīng)理層負責組織領導企業(yè)內(nèi)部控制的日常運行。企業(yè)應當成立專門機構

或者指定適當?shù)臋C構具體負責組織協(xié)調(diào)內(nèi)部控制的建立實施及日常工作。

4、人員設置與權責分配

企業(yè)應當根據(jù)經(jīng)營目標、職能劃分和管理要求，明確高級管理人員的職

責權限，將權利和責任分解到具體崗位，為內(nèi)部控制的有效實施創(chuàng)造良好條

件。高級管理人員是指對企業(yè)決策、經(jīng)營、管理負有領導職責的人員，包括

董事長、董事會成員、經(jīng)理、副經(jīng)理、總會計師等。

5、內(nèi)部控制管理手冊

企業(yè)應當通過編制內(nèi)部管理手冊、內(nèi)部管理制度匯編、員工操作手冊、

組織機構圖、業(yè)務流程圖、崗位描述和權限指引等適當方式，使全體員工了

解和掌握內(nèi)部機構設置、崗位職責、業(yè)務流程等情況，促進企業(yè)各層級員工

明確職責分工，正確行使職權，并加強對權責履行的監(jiān)督。

（三）議事規(guī)則

企業(yè)應當根據(jù)國家有關法律法規(guī)的規(guī)定，結(jié)合企業(yè)章程和實際情況，建

立規(guī)范的議事規(guī)則，促進企業(yè)內(nèi)部控制的有效運行。

1、股東會議事規(guī)則

2、董事會議事規(guī)則

3、監(jiān)事會議事規(guī)則

三、內(nèi)部審計

（一）內(nèi)部審計概述

國際內(nèi)部審計師協(xié)會對內(nèi)部審計的定義：“內(nèi)部審計是一個組織內(nèi)部建

立的一種獨立評價活活動，并作為對該組織的活動進行審查和評價的一種服

務?！眱?nèi)部審計通過審查和評價經(jīng)營活動及內(nèi)部控制的真實性、合法性和有

效性來促使組織目標的實現(xiàn)。內(nèi)部審計的主要目的是評價組織控制以確保揭

露組織潛在的風險和經(jīng)濁高效地達到組織的目標和目的。

健全的內(nèi)部審計機構、加強內(nèi)部審計監(jiān)督是營造守法、公平、正直的內(nèi)

部環(huán)境的重要保證。內(nèi)部審計機構是企業(yè)各項經(jīng)濟業(yè)務活動的檢察官，他對

各項活動加以檢查監(jiān)督，可以有效防范風險。（《基本規(guī)范》第十五條）規(guī)定：

企業(yè)應當加強內(nèi)部審計工作，保證內(nèi)部審計機構設置、人員配備和工作的獨

立性。內(nèi)部審計機構應當結(jié)合內(nèi)部審計監(jiān)督，對內(nèi)部控制的有效性進行監(jiān)督

檢查。內(nèi)部審計機構對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷，應當按照企業(yè)內(nèi)部

審計工作程序進行報告；對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷，有權直接

向董事會及其審計委員會、監(jiān)事會報告。

（二）內(nèi)部審計機構設置和人員配備

1、審計委員會

企業(yè)應當在董事會下設立審計委員會，并賦予審計委員會監(jiān)督企業(yè)內(nèi)部

控制建立和實施情況的相應職權。

2、內(nèi)部審計機構設置和人員配備

企業(yè)的內(nèi)部審計機構的組織領導體制，應依照法律規(guī)定和企業(yè)章程規(guī)定。

設立專門的內(nèi)部審計機構的企業(yè)應當配備一定數(shù)量有執(zhí)業(yè)資格的內(nèi)部審計

人員與履行內(nèi)部審計職能相適應的工作條件。未設立內(nèi)部審計機構的企業(yè)，

應當由董事會授權或者企業(yè)章程規(guī)定的有關機構承擔內(nèi)部審計職責。

（三）內(nèi)部審計工作的獨立性

內(nèi)部審計機構的獨立性是指內(nèi)部審計機構和人員在進行內(nèi)部審計活動

時，不存影響內(nèi)部審計客觀性的利益沖突的狀態(tài)。

1、內(nèi)部審計機構應隸屬公司董事會或最高管理層，接受其指導和監(jiān)督

并取得其支持。

2、內(nèi)部審計機構和人員應保持獨立性，不得負責公司經(jīng)營活動和內(nèi)部

控制的決策和執(zhí)行。

3、內(nèi)部審計機構負責人的任免應由董事會或最高管理層經(jīng)過適當?shù)某?/p>

序確定，內(nèi)部審計機構負責人應直接向董事會或最高管理層負責。

4、內(nèi)部審計機構應制定內(nèi)部審計章程，明確其職責和權限范圍，并報

經(jīng)董事會或最高管理層批準，以確保內(nèi)部審計活動不受到公司內(nèi)其他部門的

干涉和限制。

（四）內(nèi)部審計機構的職權

1、內(nèi)部審計機構的職權

內(nèi)部審計機構應當依照法律規(guī)定和企業(yè)授權，結(jié)合內(nèi)部審計監(jiān)督，對內(nèi)

部控制的有效性開展審計監(jiān)督，進行監(jiān)督檢查。內(nèi)部審計機構的工作范圍不

應受到人為限制。

內(nèi)部審計機構對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷，應當按照企業(yè)內(nèi)部審

計工作程序進行報告；對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷或重大問題,

有權視具體情況直接向董事會及審計委員、監(jiān)事會報告。

2、審計報告

審計報告是指內(nèi)部審計人員根據(jù)審計計劃對被審計單位實施必要的審

計程序后，就被審計單位經(jīng)營活動和內(nèi)部控制的適當性、合法性、有效性出

具的書面文件，也是對被審計單位經(jīng)營活動及內(nèi)部控制的適當性、合法性、

有效性所做出的相對保證。內(nèi)部審計人員應在審計工作結(jié)束后，以經(jīng)過核實

的審計證據(jù)為依據(jù)，形成審計結(jié)論和建議，出具審計報告。

四、人力資源政策

內(nèi)部控制是由人來進行并受人的因素影響，保證組織所有成員具有一定

水準的誠信、道德觀和能力的人力資源方針與實踐，是內(nèi)部控制有效的關鍵

因素之一。

人力資源政策包括崗位職責、人力資源計劃、招聘、培訓、離職、考核、

薪酬等一系列有關人事的活動和程序，旨在通過有形的具體的制度和措施來

影響并約束職工的行為方式。

《基本規(guī)范》第十六、十七條規(guī)定：企業(yè)應當制定和實施有利于企業(yè)可

持續(xù)發(fā)展的人力資源政策。企業(yè)應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選

拔和聘用員工的重要標準，切實加強員工培訓和繼續(xù)教育，不斷提升員工素

質(zhì)。

(一)人力資源政策概述

1、人力資源政策的內(nèi)容

企業(yè)的人力資源政策應當科學、規(guī)范、公平、公開、公正，有利于調(diào)動

員工在內(nèi)部控制和經(jīng)營管理活動中的積極性、主動性和創(chuàng)造性。人力資源政

策應當包括下列內(nèi)容：

(1)員工的聘用、培訓、辭退與辭職。

(2)員工的薪酬、考核、晉升與獎懲。

(3)關鍵崗位員工的強制休假制度和定期崗位輪換制度。

(4)掌握國家秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定。

(5)有關人力資源管理的其他政策。

2、選拔和聘用員工的重要標準

企業(yè)應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要

標準，并適當關注應聘者的價值取向和行為特征是否與本企業(yè)的企業(yè)文化和

內(nèi)部控制的有關要求相適應。

3、員工培訓和繼續(xù)教育

企業(yè)應當重視并切實加強員工培訓和繼續(xù)教育，制定科學、合理的培訓

計劃，提高培訓的針對性和實效性，不斷提升員工的道德素養(yǎng)和業(yè)務素質(zhì)。

4、激勵約束機制

企業(yè)應當建立和完善針對各層級員工的激勵約束機制，通過制定合理的

目標、建立明確的標準、執(zhí)行嚴格的考核和落實配套的獎懲，促進員工責、

權、利的有機統(tǒng)一和企業(yè)內(nèi)部控制的有效執(zhí)行。

5、人力資源政策控制措施

(1)崗位職責和任職要求應當明確，人力資源需求計劃應當合理；

(2)招聘及離職程序應當規(guī)范，培訓工作應當以提高員工道德素養(yǎng)和

專業(yè)勝任能力為目標；

(3)人力資源考核制度應當科學合理，應能引導員工實現(xiàn)企業(yè)經(jīng)營目

標；

(4)薪酬制度應當能保持和吸引優(yōu)秀人才，薪酬發(fā)放標準和程序應當

規(guī)范。

(二)崗位職責與人力資源計劃

1、崗位職責

(1)崗位說明制度

企業(yè)應當建立崗位說明制度，明確所有崗位的主要職責、資歷、經(jīng)驗要

求等，并定期組織內(nèi)部各單位、各部門人員對工作崗位進行分析，確保各崗

位配備勝任的人員，避免因人設崗。

(2)崗位責任制

企業(yè)應當按照權責一致的原則，建立并實行定崗、定人、定責、定獎

罰的崗位責任制，明確崗位職責及其分工情況，確保不相容崗位相互分離、

制約和監(jiān)督。

(3)崗位保密協(xié)議

對于在產(chǎn)品技術、市場、經(jīng)濟、管理等方面涉及或掌握企業(yè)知識產(chǎn)權、

專有技術、商業(yè)秘密等的工作崗位，如有必要，企業(yè)可以與該崗位工作人員

簽訂有關崗位保密協(xié)議，明確其特殊的權利和義務。

(4)人力資源政策反映渠道

企業(yè)還應建立良好的人力資源政策反映渠道，確保有關人力資源政策建

議得以傳遞和落實，保證人力資源運用效率的提高和人員任用的公平合理。

(5)輪崗制度或強制休假制度

企業(yè)可以根據(jù)自身經(jīng)營管理實踐經(jīng)驗，對某些控制薄弱、易發(fā)生舞弊行

為的崗位實行輪崗位制度或強制休假制度。

2、人力資源計劃

人力資源計劃有狹義和廣義之分。狹義的人力資源計劃是指提供具體的

人力資源的行動計劃。廣義的人力資源計劃包括預測企業(yè)未來的人力資源供

求狀況、制定行動計劃及控制和評估計劃。企業(yè)的人力資源計劃的目標是確

保企業(yè)在需要的時候和需要的崗位上能及時得到各種需要的人才，使企業(yè)人

才在數(shù)量、質(zhì)量、層次和結(jié)構上均達到最優(yōu)。

(三)招聘、培訓與離職

企業(yè)應當規(guī)范招聘及離職的程序，應當以提高員工道德素養(yǎng)和專業(yè)勝任

能力為目標開展培訓工作。企業(yè)應當凈職業(yè)道德素養(yǎng)和專業(yè)勝任能力作為選

拔和聘用員工的重要標準，并適當關注應聘者的價值取向和行為特征是否與

本企業(yè)的企業(yè)文化和內(nèi)部控制的有關要求相適應，并應當重視和加強員工培

訓計劃，提高培訓的針對性和實效性，不斷提升員工的道德素養(yǎng)和業(yè)務素質(zhì)。

企業(yè)員工在工作過程中因個人原因提出辭職申請時，應當根據(jù)勞動合同

規(guī)定的時間要求提前向有關部門或人員提交辭職報告，并按照企業(yè)要求和技

術保密協(xié)議規(guī)定辦理有關離職交接手續(xù)。企業(yè)董事、經(jīng)理、總會計師等高級

管理人員提出的辭職申請，企業(yè)董事會應當組織離任審計小組對其進行離任

審計，對于其他管理人員的離任審計由企業(yè)經(jīng)理根據(jù)實際需要確定。

（四）人力資源考核政策

人力資源考核政策應當科學合理、應能引導員工實現(xiàn)企業(yè)經(jīng)營目標。企

業(yè)應當制定科學合理的人力資源考核制度，對員工履行職責、完成任務的情

況實施全面、公正、準確的考核，客觀評價員工的工作表現(xiàn)，引導員工實現(xiàn)

企業(yè)經(jīng)營目標。企業(yè)應當對各層級員工建立明確的標準，執(zhí)行嚴格考核和落

實配套的獎懲，促進員工責、權、利的有機統(tǒng)一和企業(yè)內(nèi)部控制的有效執(zhí)行。

（五）薪酬及激勵政策

企業(yè)的薪酬及激勵政策的合理性在吸引人才、留住人才、激勵人才、滿

足組織需要等方面具有十分重要的作用。企業(yè)應當規(guī)范薪酬發(fā)放標準和程序,

建立和完善針對各層級員工的激勵約束機制，促進員工責、權、利的有機統(tǒng)

一和企業(yè)內(nèi)部控制的有效執(zhí)行。

1、薪酬制度設計原則

（1）按勞分配原則；（2）激勵適度原則；（3）互促互進原則。

2、薪酬組成

（1）基本工資；（2）績效工資；（3）年終獎勵；（4）其他薪酬。

3、薪酬發(fā)放審核制度

企業(yè)應當根據(jù)有關法律法規(guī)、國家統(tǒng)一會計制度的規(guī)定，準確確認、計

量并發(fā)放員工薪酬，并對薪酬發(fā)放的真實性、合規(guī)性和準確性進行嚴格審核,

以防虛報冒領等行為。在發(fā)入薪酬的同時，企業(yè)應當向員工提供薪酬清單,

供員工核對確認。

4、薪酬制度評價機制

企業(yè)應當制定薪酬制度評價機制，及時對薪酬制度的合理性及執(zhí)行效果

進行評價，并根據(jù)評價結(jié)果修訂完善。

五、企業(yè)文化

企業(yè)文化是指企業(yè)在經(jīng)營管理過程中形成的、影響企業(yè)內(nèi)部環(huán)境和內(nèi)部

控制制度效力的精神、意識和理念，主要包括企業(yè)整體價值觀、高級管理人

員的管理理念、經(jīng)營哲學和職業(yè)操守，員工的行為守則等。

一個企業(yè)的企業(yè)文化、價值觀和社會責任感是影響企業(yè)決策和企業(yè)活動

的最基礎的要素，它影響企業(yè)所有的活動，更影響企業(yè)的內(nèi)部控制，是內(nèi)部

控制的重要內(nèi)部環(huán)境?！痘疽?guī)范》第十八條規(guī)定：企業(yè)應當加強文化建設，

培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業(yè)、開拓創(chuàng)新

和團隊協(xié)作精神，樹立現(xiàn)代管理理念，強化風險意識。董事、監(jiān)事、經(jīng)理及

其他高級管理人員應當在企業(yè)文化建設中發(fā)揮主導作用。企業(yè)員工應當遵守

員工行為守則，認真履行崗位職責。

(-)企業(yè)文化概述

企業(yè)文化是企業(yè)在一定的社會歷史條件下，在長期的生產(chǎn)經(jīng)營和管理活

動中創(chuàng)造出來的具有本企業(yè)特色的精神財富和物質(zhì)形態(tài)。它包括價值觀念、

社會責任感、企業(yè)精神、管理理念、經(jīng)營哲學與道德規(guī)范等，內(nèi)容極為豐富。

企業(yè)文化的核心是企業(yè)的價值觀。

企業(yè)文化是企業(yè)的靈魂，是推動企業(yè)發(fā)展的不竭動力，企業(yè)文化也是企

業(yè)的美德所在，具有鮮明的的企業(yè)特色

（二）價值觀和社會責任感

1、價值觀和企業(yè)價值觀

價值觀簡單地說，就是關于價值的觀念，它是客觀的價值體系在人們主

觀意識中的反映，是價值主體對自身需要的理解以及對價值客體的意義和重

要性的總的看法和根本觀點。

企業(yè)價值觀：企業(yè)的行為和人的行為一樣要受價值觀的支配，這就是企

業(yè)價值觀。企業(yè)價值觀是一種以企業(yè)為主體的價值觀，是企業(yè)人格化的產(chǎn)物,

它是企業(yè)在經(jīng)營過程中，全體員工一致認同、推崇和奉行的基本信念和基本

行為準則，是企業(yè)進行價值評價、決定價值取向的內(nèi)在依據(jù)，體現(xiàn)著一個

企業(yè)的基本理念和信仰，反映企業(yè)內(nèi)部衡量事物重要程度及是非優(yōu)劣的根本

標準，因而當之無愧地成為企業(yè)文化的核心。

2、社會責任感

在當代社會中，企業(yè)實際上已經(jīng)成為多種社利益的交匯點，直接影響著

社的穩(wěn)定與發(fā)展。企業(yè)不能只謀取自身利益，還要肩負兼顧各方面利益的社

會責任。

責任是一種擔當，責任更是一種力量。責任不僅能夠推動一個企業(yè)的成

長和壯大，更將推動一個民族的發(fā)展和進步。

3、誠實守信、愛崗敬業(yè)、開拓創(chuàng)新和團隊協(xié)作精神

（三）風險意識

1、企業(yè)風險和風險意識

企業(yè)風險是指企業(yè)在其進行生產(chǎn)經(jīng)營過程中，由于不確定因素和經(jīng)營失

誤的影響，而遭受損失的程度與可能性。從產(chǎn)生角度來說分為內(nèi)部風險和外

部風險。

由于企業(yè)風險具有突發(fā)性、多變性、和無形性，因此企業(yè)風險的的發(fā)生

往往會給企業(yè)的生產(chǎn)經(jīng)營帶來巨大影響，并可能造成難衡量和彌補的損失。

由于企業(yè)風險是客觀存在的，企業(yè)的風險意識就是企業(yè)對風險的客觀性和普

遍性的警醒和覺悟.，它來自企業(yè)對經(jīng)營環(huán)境的真實認知，是一個成功企業(yè)不

可缺失文化基因。

2、企業(yè)強化風險意識的措施

（1）將風險意識變成企業(yè)上下共同的理念；（2）建立風險管理培訓制

度。

（四）高級管理人員的職業(yè)操守和員工的行為守則

高級管理人員應當恪守以誠實守信為核心的職業(yè)操守，不得損害投資者、

債權人、客戶、員工和社會公眾的利益。

企業(yè)員工應當遵守員工行為守則，加強職業(yè)道德修養(yǎng)和業(yè)務學習，自覺

遵守與企業(yè)內(nèi)部控制有關的各項規(guī)定，勤勉盡責。

六、法制觀念

《基本規(guī)范》第十九條規(guī)定：企業(yè)應當加強法制教育，增強董事、監(jiān)事、

經(jīng)理及其他高級管理人員和員工的法制觀念，嚴格依法決策、依法辦事、依

法監(jiān)督，建立健全法律顧問制度和重大法律糾紛案件備案制度。

（一）法制教育

企業(yè)應當加強法制教育，增強董事、監(jiān)事、經(jīng)理及其他高級管理人員和

員工的法制觀念，嚴格依法決策、依法辦事、依法監(jiān)督。高級管理人員有責

任在企業(yè)范圍內(nèi)培育遵規(guī)守紀精神。

（二）法律顧問制度

法律顧問制度對于維護企業(yè)的合法權益，促進企業(yè)依法經(jīng)營管理、加強

內(nèi)部監(jiān)督和風險控制都有重大影響和重要意義。

（三）重大法律糾紛案件備案制度

企業(yè)應當依法獨立處理法律糾紛案件，加強重大法律糾紛案件的管理,

建立健全有關規(guī)章制度和有效防范法律風險的機制。

第三章風險評估

每個企業(yè)都面臨來自內(nèi)部和外部的不同風險，內(nèi)部控制的目的就是要控

制這些風險。管控風險首要的就是要對這些風險加識別、評估，在評估的基

礎上進行風險應對策略。

《基本規(guī)范》第二十條規(guī)定企業(yè)應當根據(jù)設定的控制目標，全面系統(tǒng)持

續(xù)地收集相關信息，結(jié)合實際情況，及時進行風險評估。

《基本規(guī)范》第二十七條規(guī)定企業(yè)應當結(jié)合不同發(fā)展階段和業(yè)務拓展情

況，持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，及時調(diào)整

風險應對策略。

一、風險評估概述

（一）風險

1、風險的含義

風險是指在一定的客觀情形之下，在某一特定期間內(nèi)，那些可能發(fā)生的

結(jié)果之間的差異。這種差異是實際結(jié)果與預期結(jié)果的變動程度。所謂風險大,

應是這種變動程度大；風險小，就是指這種變動程度小。基本規(guī)范涉及的風

險是指對實現(xiàn)內(nèi)部控制目標可能產(chǎn)生負面影響的不確定因素。

內(nèi)部控制有三大主要目標：運營的效率和效果、財務報告的可靠性及法

律法規(guī)的遵循性。內(nèi)部環(huán)境、風險評估、控制措施、信息與溝通以及監(jiān)督檢

查均服務于三大目標。

2、風險的特征：偶然性、可變性、客觀性

(二)風險評估

風險評估是指及時識別、科學分析影響企業(yè)內(nèi)部控制目標實現(xiàn)的各種確

定因素，同時采取應對策略的過程。要對識別的風險進行分析，形成風險管

理的依據(jù)。風險與可能被影響的目標相關聯(lián)。既要對固有風險進行評估，也

要對剩余風險進行評估，評估要考慮到風險的可能性和影響。

風險評估要按照一定的程序進行，有目標設定、風險識別、風險分析、

風險應對四個步驟。

二、控制目標

《基本規(guī)范》第二十條規(guī)定企業(yè)應當根據(jù)設定的控制目標，全面系統(tǒng)持

續(xù)地收集相關信息，結(jié)合實際情況，及時進行風險評估。目標設定是進行其

他程序的前提。在管理當局識別和分析風險并采取行動管理風險之前，首先

必須有目標，目標是有層級的，可以分為戰(zhàn)略目標和具體目標。

(-)戰(zhàn)略目標

戰(zhàn)略目標明確了企業(yè)存在的意義和價值，所以管理當局設定戰(zhàn)略目標,

進行戰(zhàn)略規(guī)劃，并為組織確定具體目標。

（二）具體目標

1、財務報告目標

一份可靠的財務報告為管理者提供適合既定目標的準確而完整的信息。

它支管理者的決策并對主體活動進行監(jiān)控。

2、經(jīng)營目標

經(jīng)營目標與企業(yè)經(jīng)營的有效性相關，設立經(jīng)營目標的目的在于在推動主

體實現(xiàn)最終目標的過程中提高經(jīng)營的有效性和效率。經(jīng)營目標需要反映主體

所處的特定的經(jīng)營、行業(yè)和經(jīng)濟環(huán)境。

3、合規(guī)性目標

法律法規(guī)確定了最低的行為準則，企業(yè)從事活動必須符合相關的法律和

法規(guī)，同時企業(yè)的合規(guī)記錄可能會對它在市場和社會上的聲譽產(chǎn)生極大的正

面或負面影響。

三、風險識別

（一）內(nèi)險識別的必要性

企業(yè)要進行風險管理，首先必須明確風險在哪里。倘若不能準確地確認

風險所在，就無法分析及預測企業(yè)危機，當然也無從制定對策以控制風險。

因此，風險識別是風險管理的第一個步驟。

《基本規(guī)范》第二十一條規(guī)定，企業(yè)開展風險評估，應當準確識別與實

現(xiàn)控制目標相關的內(nèi)部風險和外部風險，確定相應的風險承受度。風險承受

度是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受

風險水平。

(二)風險識別及其內(nèi)外部因素

1、風險識別的含義

風險識別是指識別所有可能對組織產(chǎn)生負面影響的損失風險，即找出影

響預目標實現(xiàn)的主要風險。識別過程包括兩個階段：首先是風險的辨識，找

出各種風險及其存在之處；其次是對風險進行分析，主要分析引起風險的各

咱原因和可能結(jié)果。

風險識別的主要目的不僅要幫助企業(yè)認識和發(fā)現(xiàn)風險，還要為企業(yè)提供

如何管理風險的思路。具體而言，就是要發(fā)現(xiàn)潛在的風險隱患，使企業(yè)能及

時采取措施，防患于未然；充分了解和認識造成風險隱患的原因和過程，便

于企業(yè)采取適當?shù)募夹g和手段控制風險損失發(fā)生或者降低損失的程度；初步

判斷這些隱患對企業(yè)造成的影響，便于管理層引起重視并做出決策：是否應

采取恰當?shù)?、有效的措施來控制風險。只有充分地識別風險，才能有效地控

制風險。

2、風險識別的內(nèi)部因素

《基本規(guī)范》第二十二條規(guī)定企業(yè)識別內(nèi)部風險應當考慮下列因素:

(1)董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝

任能力等人力資源因素。

(2)組織機構、經(jīng)營方式、資產(chǎn)管理、業(yè)務流程等管理因素。

(3)研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素。

(4)財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素。

(5)營運安全、員工健康、環(huán)境保護等安全環(huán)保因素。

（6）其他有關內(nèi)部風險因素。

2、風險識別的外部因素

《基本規(guī)范》第二十三條規(guī)定企業(yè)識別外部風險應當考慮下列因素:

（1）經(jīng)濟形勢、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭、資源供給等經(jīng)濟因

素。

(2)法律法規(guī)、監(jiān)管要求等法律因素。

(3)安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會

因素。

（4）技術進步、工藝改進等科學技術因素。

（5）自然災害、環(huán)境狀況等自然環(huán)境因素。

（6）其他有關外部風險因素。

（三）風險識別的基本原則

在風險識別的過程中，需要遵循系統(tǒng)性、連續(xù)性、全面性的原則。

（四）風險識別的方法

1、基本方法：風險清單法

風險清單是指由專業(yè)人員設計好的標準表格和問卷，上面非常全面地列

出了一企業(yè)可能面臨的風險。

優(yōu)點：經(jīng)濟方便，適合新公司、初次想構建風險管理制度的公司或缺乏

專業(yè)風險管理人員的公司使用，這些表格可能幫助他們系統(tǒng)地識別出最基本

的風險，并除降低忽略重要風險源的可能性。

局限：（1）針對性較差；（2）未涉及投機風險。

2、輔助方法：（1）財務報表分析法；（2）流程圖分析法；（3）事故樹

分析法；（4）現(xiàn)場調(diào)查法；（5）問卷調(diào)查法；（6）組織圖分析法；（7）因果

圖分析法。

（五）如何準確識別影響企業(yè)內(nèi)控目標實現(xiàn)的風險因素

1、內(nèi)部因素：（1）人力資源因素；（2）管理因素；（3）自主創(chuàng)新因素;

（4）財務因素；（5）安全環(huán)保因素。

2、外部因素：（1）經(jīng)濟因素；（2）法律因素；（3）社會因素；（4）科

學技術因素。

四、風險評估

（一）風險評估概述

風險評估是在風險識別的基礎上對風險進行計量、分析、判斷、排序的

過程一，是風險應對主要依據(jù)。

《基本規(guī)范》第二十四條規(guī)定，企業(yè)應當采用定性與定量相結(jié)合的方法,

按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確

定關注重點和優(yōu)先控制的風險。

企業(yè)進行風險分析，應當充分吸收專業(yè)人員，組成風險分析團隊，按照

嚴格規(guī)范的程序開展工作，確保風險分析結(jié)果的準確性。

（二）風險評估方法

在風險評估過程中，不同階段所使用的風險評估方法也不同，不論采用

何種方法來進行風險評估，無論是基于固有風險還是剩余風險的評估，都主

要從損失頻率（可能性）以及損失程度（影響）兩個方面進行。

1、損失頻率（可能性）的評估方法：定性分級法和概率測算法。

2、損失和度的評估方法：損失程度衡量實際是就是對損失的嚴重性進

行估算。公司在確定損失的嚴重程度時，必須考慮第一特定風險可能造成

的各類損失及其對企業(yè)財務及總體經(jīng)營的最終影響，既要評估潛在的直接損

失，也要估計潛在的間接損失。

（三）幾種常見的企業(yè)風險

1、人身風險

2、財產(chǎn)風險：分動產(chǎn)和不動產(chǎn)兩種

3、責任損失風險

五、風險應對

（一）風險應對概述

在風險識別、風險評估之后，接下去就是要研究如何有效地控制這些風

險，以達到減少事故發(fā)生的概率和降低損失程度的目的。風險應對就是在風

險識別和風險衡量的基礎上，針對企業(yè)所存在的風險因素，對已經(jīng)識別的風

險進行定性分析、定量分析和進行風險排序，制定相應的應對措施和整體策

略，以消除風險因素或減少風險因素的危險性。在事故發(fā)生前，降低事故的

發(fā)生概率；在事故發(fā)生后，將損失減少到最低限度，從而達到降低風險單位

預期財產(chǎn)損失的目的。因此風險應對的本質(zhì)是減少損失概率或降低損失程度。

《基本規(guī)范》第二十五條規(guī)定，企業(yè)應當根據(jù)風險分析的結(jié)果，結(jié)合風

險承受度，權衡風險與收益，確定風險應對策略。

企業(yè)應當合理分析、準確掌握董事、經(jīng)理及其他高級管理人員、關鍵崗

位員工的風險偏好，采取適當?shù)目刂拼胧?，避免因個人風險偏好給企業(yè)經(jīng)營

帶來重大損失。

（二）風險應對的策略

《基本規(guī)范》第二十六條規(guī)定，企業(yè)應當綜合運用風險規(guī)避、風險降低、

風險分擔和風險承受等風險應對策略，實現(xiàn)對風險的有效控制。

1、風險規(guī)避

(1)風險規(guī)避的內(nèi)涵：風險規(guī)避是企業(yè)對超出風險承受度的風險，通

過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。其實質(zhì)

是退出會產(chǎn)生風險的活動

(2)風險規(guī)避的適用性。

企業(yè)在采用風險規(guī)避來處風險時必須考慮的幾個因素：第一，欲避免某

種風險也許不可能，對企業(yè)而言，有些風險如世界性的經(jīng)濟危機、能源危機

絕對難以避免；第二、采用避免風險在經(jīng)濟上也不適當，對某些風險即使可

以避免，但就經(jīng)濟效益而言也許不合適；第三，避免了某一風險有可能另外

產(chǎn)生新的風險。

基于上述因素，最適合采用風險規(guī)避辦法的情況有兩種：第一、某種特

定風險所致的損失概率和損失程度相當大；第二，應用其他風險處理技術的

成本超過其產(chǎn)生的效益，采用風險規(guī)避方法可使用企業(yè)受損失的可能性等于

零。

2、風險降低

(1)風險降低的涵義

所謂風險降低是指企業(yè)對不愿放棄也不愿轉(zhuǎn)移的風險，通過降低其損失

發(fā)生的概率，縮小其損失程度來達到控制目的的各類控制技術和方法。

基本規(guī)范規(guī)定：風險降低是企業(yè)在權衡成本效益之后，準備采取適當?shù)?/p>

控制措施降低風險或者減輕損失，將風險控制在風險承受度之內(nèi)的策略。

(2)風險降低的分類

A、依目的不同可劃分為損失預防和損失抑制兩種；

B、依所采取的措施性質(zhì)劃分可分為工程物理法和人們行為法兩種；

C、按照執(zhí)行時間劃分可分為損失發(fā)生前、損失發(fā)生時、損失發(fā)生后三

種。

3、風險分擔

(1)風險分擔的涵義

風險分擔是指通過轉(zhuǎn)移來降低風險的可能性或影響，或者分擔一部分風

險。

基本規(guī)范規(guī)定：風險分擔是企業(yè)準備借助他人力量，采取業(yè)務分包、購

買保險等方式和適當?shù)目刂拼胧?，將風險控制在風險承受度之內(nèi)的策略。

(2)風險分擔的分類：財務型風險轉(zhuǎn)移和非財務型風險轉(zhuǎn)移

4、風險承受

風險承受又叫風險承擔，是指經(jīng)濟單位自己承擔由風險事故所造成的損

失。

基本規(guī)范規(guī)定：風險承受是企業(yè)對風險承受度之內(nèi)的風險，在權衡成本

效益之后，不準備采取控制措施降低風險或者減輕損失的策略。

5、風險利用

第四章控制活動

一、控制活動概述

（一）控制活動

控制活動是指企業(yè)根據(jù)風險評估結(jié)果，結(jié)合風險應對策略，確保內(nèi)部控

制目標是以實現(xiàn)的方法和手段。

（二）風險控制

風險控制就是使用風險降低到企業(yè)可以接受的程度，當風險發(fā)生時，不

至于影響企業(yè)的正常業(yè)務運作。

（三）《基本規(guī)范》對企業(yè)內(nèi)部控制活動的要求

《基本規(guī)范》第二十八條規(guī)定，企業(yè)應當結(jié)合風險評估結(jié)果，通過手工

控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結(jié)合的方法，運用相應的控制

措施，將風險控制在可承受度之內(nèi)。

控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統(tǒng)控

制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。

《基本規(guī)范》第三十六條規(guī)定，企業(yè)應當根據(jù)內(nèi)部控制目標，結(jié)合風險

應對策略，綜合運用控制措施，對各種業(yè)務和事項實施有效控制。

《基本規(guī)范》第三十七條規(guī)定，企業(yè)應當建立重大風險預警機制和突發(fā)

事件應急處理機制，明確風險預警標準，對可能發(fā)生的重大風險或突發(fā)事件,

制定應急預案、明確責任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善

處理。

二、不相容職務分離控制

（-）不相容職務分離的含義

不相容職務是指集中于一人辦理時發(fā)生差錯或舞弊的可能性就會增加

的兩項或幾項職務。

《基本規(guī)范》第二十九條規(guī)定，不相容職務分離控制要求企業(yè)全面系統(tǒng)

地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成

各司其職、各負其責、相互制約的工作機制。

(二)不相容職務分離控制

不相容職務分離是企業(yè)內(nèi)部控制最基本的要求，是保證提高經(jīng)營效率、

保護財產(chǎn)安全以及增強會計數(shù)據(jù)可靠性的重要條件。

(三)企業(yè)中的不相容職務分離

1、企業(yè)中不相容職務一般包括：授權審批職務與申請職務、授權審批

職務與執(zhí)行業(yè)務職務、執(zhí)行業(yè)務職務與監(jiān)督審核職務、執(zhí)行與會計記錄業(yè)務

職務、財務保管與會計記錄職務、明細賬與總賬記錄職務、執(zhí)行業(yè)務職務與

財產(chǎn)保管職務、財產(chǎn)保管職務與財產(chǎn)核查職務等。

2、企業(yè)經(jīng)濟業(yè)務活動中常見的幾種不相容職務分離

(1)經(jīng)濟業(yè)務處理的分工；

(2)資產(chǎn)記錄與保管的分工；

(3)各個職能部門具有相對獨立性。

三、授權審批控制

(一)授權審批

授權審批是指企業(yè)在處理經(jīng)濟業(yè)務時，必須經(jīng)過授權批準才能執(zhí)行，以

便進行控制。授權批準按其形式可分為常規(guī)性授權和物特別授權。

(-)授權審批控制

1、《基本規(guī)范》對企業(yè)授權審批控制的要求

《基本規(guī)范》第三十條規(guī)定，授權審批控制要求企業(yè)根據(jù)常規(guī)授權和特

別授權的規(guī)定，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責

任。

企業(yè)應當編制常規(guī)授權的權限指引，規(guī)范特別授權的范圍、權限、程序

和責任，嚴格控制特別授權。常規(guī)授權是指企業(yè)在日常經(jīng)營管理活動中按照

既定的職責和程序進行的授權。

特別授權是指企業(yè)在特殊情況、特定條件下進行的授權。

企業(yè)各級管理人員應當在授權范圍內(nèi)行使職權和承擔責任。

企業(yè)對于重大的業(yè)務和事項，應當實行集體決策審批或者聯(lián)簽制度，任

何個人不得單獨進行決策或者擅自改變集體決策。

2、授權審批控制的內(nèi)容：（1）授權批準的范圍；（2）授權批準的層次;

（3）授權批準的責任；（4）授權批準的程序。

（三）企業(yè)在執(zhí)行授權審批制度時應遵循的原則

1、有關事項必須經(jīng)過授權批準，且在業(yè)務發(fā)生之前；

2、授權批準責任一定要明確；

3、所有過程都必須有書面證明；

4、對于越權行為一定要有相應的懲罰制度。

四、會計系統(tǒng)控制

（一）會計系統(tǒng)控制概述

會計系統(tǒng)是一企業(yè)管理系統(tǒng)的核心之一，首先，它通過記錄和報告歷史

經(jīng)濟業(yè)務來反映企業(yè)的財務狀況、經(jīng)營成果和現(xiàn)金流量情況；其次，這些信

息為企業(yè)經(jīng)營決策和與企業(yè)利益相關的外部使用者的投資決策提供依據(jù)。真

實、完整的會計信息對企業(yè)來說是非常重要的，它是企業(yè)能否進行有效經(jīng)濟

分析和準確預測和決策的基礎。

內(nèi)部控制是會計信息真實、可靠的制度保障和前提。

（二）《基本規(guī)范》對企業(yè)會計系統(tǒng)控制的要求

《基本規(guī)范》第三十一條規(guī)定，會計系統(tǒng)控制要求企業(yè)嚴格執(zhí)行國家統(tǒng)

一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會

計報告的處理程序，保證會計資料真實完整。

（三）會計系統(tǒng)內(nèi)部控制的目標

會計系統(tǒng)內(nèi)部控制的目標是通過對財產(chǎn)物資保管和會計信息等控制對

象制定一系列控制方法、措施和程序所要達到的最終目的和要求，它是建立、

完善會計系統(tǒng)內(nèi)部控制，以及有效實施會計系統(tǒng)內(nèi)部控制的指南。會計系統(tǒng)

內(nèi)部控制應達到的基本目標：

1、規(guī)范企業(yè)會計行為，保證會計資料的真實完整性；

2、堵塞漏洞、消除隱患，防止并及時發(fā)現(xiàn)、糾正錯誤及舞弊行為，保

護企業(yè)的資產(chǎn)安全、完整；

3、確保企業(yè)貫徹執(zhí)行國家有關法律法規(guī)和企業(yè)的規(guī)章制度。

（四）會計系統(tǒng)內(nèi)部控制的原則

1、合法性與實用性相結(jié)合；

2、全面約束與權利控制結(jié)合；

3、全面控制與關鍵點控制相結(jié)合；

4、崗位職責與不相容職務分離相結(jié)合；

5、控制成本與控制效果相結(jié)合。

（五）企業(yè)就依法設置會計機構并配備合格的會計人員

《基本規(guī)范》第三十一條規(guī)定，企業(yè)應當依法設置會計機構，配備會計

從業(yè)人員。從事會計工作的人員，必須取得會計從業(yè)資格證書。會計機構負

責人應當具備會計師以上專業(yè)技術職務資格。

大中型企業(yè)應當設置總會計師。設置總會計師的企業(yè)，不得設置與其職

權重疊的副職。

（六）會計系統(tǒng)控制的主要方法

1、會計憑證控制

會計憑證控制內(nèi)容主要包括：（1）嚴格審查；（2）設計科學的憑證格式;

（3）連續(xù)編號；（4）規(guī)定合理的憑證傳遞程序；（5）明確憑證裝訂與保管

手續(xù)。

2、會計賬簿控制

具體內(nèi)容包括：（1）按照規(guī)定設置會計賬簿；（2）啟用會計賬簿時要填

寫“啟用表”；（3）會計憑證必須經(jīng)過審核無誤后才能夠登記入賬；（4）對

會計賬簿中的賬頁或賬戶連續(xù)編號；（5）會計賬簿應按照規(guī)定的方法和程序

進行登記并進行錯誤更正；（6）按照規(guī)定的方法與時間結(jié)賬。

3、財務報告控制

具體內(nèi)容包括：（1）按照規(guī)定的方法與時間編制及報送財務報告；（2）

編制的會計報表必須由單位負責人、總會計師以及會計主管人員審閱、簽名

并蓋章。（3）對報送給各有關部門的會計報表要裝訂成冊，加蓋公章。

4、會計復核控制

五、財產(chǎn)保護控制

（一）財產(chǎn)保護控制概述

企業(yè)的財產(chǎn)可以分為兩大類，有形資產(chǎn)和無形資產(chǎn)。

《基本規(guī)范》第三十二條規(guī)定，財產(chǎn)保護控制要求企業(yè)建立財產(chǎn)日常管

理制度和定期清查制度，采取財產(chǎn)記錄、實物保管、定期盤點、賬實核對等

措施，確保財產(chǎn)安全。企業(yè)應當嚴格限制未經(jīng)授權的人員接觸和處置財產(chǎn)。

（二）企業(yè)財產(chǎn)保護控制制度：資產(chǎn)收發(fā)制度、資產(chǎn)保管制度、定期盤

點制度、資產(chǎn)處置制度。

六、預算控制

（一）預算控制的概述

預算控制是內(nèi)部控制的重要組成部分，其內(nèi)容涵蓋企業(yè)活動的全過程,

預算控制是指對單位各項經(jīng)濟業(yè)務編制詳細的預算或計劃，并通過授權，由

有關部門對預算或計劃執(zhí)行情況進行控制。

《基本規(guī)范》第三十三條規(guī)定，預算控制要求企業(yè)實施全面預算管理制

度，明確各責任單位在預算管理中的職責權限，規(guī)范預算的編制、審定、下

達和執(zhí)行程序，強化預算約束。

（二）預算控制的基本要求

1、所編制的預算必須體現(xiàn)單位的經(jīng)營管理目標，并明確責權；

2、預算在執(zhí)行中應當允許經(jīng)過授權批準對預算進行調(diào)整，以使預算更

加符合實際；

3、應當及時或定期反饋預算執(zhí)行情況。

（三）預算控制的主要內(nèi)容

1、崗位分工與授權批準

2、預算編制控制

3、預算執(zhí)行控制

4、預算調(diào)整控制

5、預算分析與考核控制

七、運營分析控制

(-)運營分析控制概述

運營分析控制就是通過對企業(yè)購銷、生產(chǎn)、倉儲、運輸、融投資等運營

活動的信息加以分析、從中發(fā)現(xiàn)偏離目標的方向，有針對性地采取措施加以

控制。

《基本規(guī)范》第三十四條規(guī)定，運營分析控制要求企業(yè)建立運營情況分

析制度，經(jīng)理層應當綜合運用生產(chǎn)、購銷、投資、籌資、財務等方面的信息，

通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發(fā)現(xiàn)

存在的問題，及時查明原因并加以改進。

(二)明確運營分析控制的對象

1、籌資能力

籌資能力是指企業(yè)籌集生產(chǎn)經(jīng)營所需資金的能力，包括內(nèi)部籌資能力和

外部籌資能力。

2、償債能力

償債能力是指企業(yè)償還各種到期債務的能力，主要包括短期償債能力和

長期償債能力。

3、營運能力

營運能力反映了企業(yè)的資金周轉(zhuǎn)狀況。

4、資產(chǎn)管理水平

資產(chǎn)管理水平是指企業(yè)資產(chǎn)的利用狀況。

5、盈利能力

盈利能力就是企業(yè)賺取利潤的能力。

6、綜合分析

7、趨勢分析

（三）收集充分的信息

（四）選擇適當?shù)姆治龇椒?/p>

1、因素分析法

2、對比分析法

3、比率分析法

4、趨勢分析法

5、綜合分析法

（五）選擇合適的執(zhí)行主體（建立一個分析小組）

八、績效考評控制

（一）績效考評控制概述

績效考評是指運用科學方法，對企業(yè)或其各分支機構一定經(jīng)營期間的生

產(chǎn)經(jīng)營狀況、資本運營效益、經(jīng)營者業(yè)績等進行定量與定性的考核、分析，

作出客觀、公正的綜合一應評價。

《基本規(guī)范》第三十五條規(guī)定，績效考評控制要求企業(yè)建立和實施績效

考評制度，科學設置考核指標體系，對企業(yè)內(nèi)部各責任單位和全體員工的業(yè)

績進行定期考核和客觀評價，將考評結(jié)果作為確定員工薪酬以及職務晉升、

評優(yōu)、降級、調(diào)崗、辭退等的依據(jù)。

（二）科學設置績效考核指標

績效考核指標必須包括三個要素：（1）指標名稱，即考核的內(nèi)容和對象;

（2）指標量度；（3）指標定義，即對指標的內(nèi)在性質(zhì)及范圍等面的內(nèi)容進

行界定和說明，避免考評雙方理解上差異。

1、設定績效考核指標時應遵循的原則

（1）與戰(zhàn)略目標一致

（2）定議明確

（3）可測量性

（4）界限分明

（5）針對性

（6）定性與定量相結(jié)合

（7）公平

（8）因地制宜

2、績效考核指標的分類：（1）業(yè)績考核指標；（2）能力考核指標；（3）

態(tài)度考核指標。

（三）合理確定考核主體

合理考核主體包括兩層意思：一是由誰進行考核；二是有多少人進行考

核。確定考核主體時應遵循的一個原則：就是考核者對被考核者的工作性質(zhì)、

崗位要求、工作狀況等必須有一定的了解，否則考核者很難合理評價被考核

者的工作成果。另外參入考核的考核者通常不少于兩名。

（四）有效進行績效考核

1、績效考核的分類：按考核時間分定期和不定期考核；按考核性質(zhì)分

定性和定量考核。

2、績效考核的原則：（1）公開化原則（2）客觀公正性原則（3）定期

化和制度化原則（4）可行性與實用性原則（5）差別化原則（6）反饋與調(diào)

整原則。

九、綜合運用控制措施

（一）《基本規(guī)范》對綜合運用控制措施的要求

《基本規(guī)范》第三十六條規(guī)定，企業(yè)應當根據(jù)內(nèi)部控制目標，結(jié)合風險

應對策略，綜合運用控制措施，對各種業(yè)務和事項實施有效控制。

（二）剩余風險及綜合運用措施的有效執(zhí)行

剩余風險是指企業(yè)采取控制措施之后仍可能發(fā)生的風險?？刂拼胧┑倪\

用并不能保證企業(yè)可以杜絕全部風險，但可以合理保證將剩余風險控制在可

接受水平之內(nèi)，合理保證企業(yè)不出現(xiàn)內(nèi)部控制的重大缺陷，保證企業(yè)內(nèi)部控

制目標的實現(xiàn)。

十、重大風險預警機制和突發(fā)事件應急處理機制

（一）概述

外部經(jīng)營環(huán)境的不確定性，以及企業(yè)內(nèi)部經(jīng)營決策的失誤或者無法預料

的突發(fā)事件，往往使企業(yè)處于危機之中，面臨巨大的風險。應對這種情況,

最有效的方法就是建立應急管理機制。

《基本規(guī)范》第三十七條規(guī)定，企業(yè)應當建立重大風險預警機制和突發(fā)

事件應急處理機制，明確風險預警標準，對可能發(fā)生的重大風險或突發(fā)事件,

制定應急預案、明確責任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善

處理。

（-）應急管理的根本任務

應急管理的根本任務是對突發(fā)事件做出快速有效的反應。

（三）應急管理體系的目標及其建立的原則

1、應急管理體系的目標：“統(tǒng)一智慧、分工協(xié)作、預發(fā)為主、平戰(zhàn)結(jié)合、

及時靈活、科學有效”地處置突發(fā)事件。

2、應急管理體系建立的原則：（1）全面性；2）層次性；（3）可重構性;

（4）高可靠性；（5）可操作性。

（四）應急管理過程

1、對事件的預警

2、預案管理

3、對突發(fā)事件的處理

4、事后處理

（五）構建應急管理機制

企業(yè)制定的應急管理機制至少應包括應急預案、責任人員、處理程序等

內(nèi)容。

（六）預警機制

1、預警信號

預警是根據(jù)系統(tǒng)外部環(huán)境及內(nèi)部條件的變化，對系統(tǒng)未來的不利事件或

風險進行預測和報警。象經(jīng)濟危機、行業(yè)危機等外部危機通常是不可能預防

的，但企業(yè)更注重發(fā)覺內(nèi)部的危機預警信號，通常有：（1）銷售額與利潤（2）

財務指標（3）危險客戶（4）企業(yè)處于更迭期。

2、預警評價指標體系

預警評價指標體系建立應遵循的原則：（1）先導性原則（2）完備性原

則（3）定性與定量指標相結(jié)合原則（4）近因原則（5）重要性原則。

（七）危機管理

絕大多數(shù)突發(fā)事件會企業(yè)陷入危機之中，而危機的存在又使企業(yè)面臨巨

大的風險，因此危機管理應是突發(fā)事件應急管理和風險管理的重要內(nèi)容之一。

危機的特點：（1）隱蔽性（2）公開性（3）危機的連帶性（4）危機的

復雜性（5）危機的雙重性。

（八）各種類別的危險及其預警信號和防范措施

危機按起源可分為外部危機和內(nèi)部危機，內(nèi)部危機可細分為：

1、公共關系危機

2、營銷危機

3、人力資源危機

4、信用危機

5、財務危機

6、速度危機

7、創(chuàng)新危機

第五章信息與溝通

一、信息與溝通概述

《基本規(guī)范》第三十八條規(guī)定，企業(yè)應當建立信息與溝通制度，明確內(nèi)

部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內(nèi)部控

制有效運行。

二、信息

（一）《基本規(guī)范》對信息獲得和處理的要求

《基本規(guī)范》第三十九條規(guī)定，企業(yè)應當對收集的各種內(nèi)部信息和外部

信息進行合理篩選、核對、整合，提高信息的有用性。

企業(yè)可以通過財務會計資料、經(jīng)營管理資料、調(diào)研報告、專項信息、內(nèi)

部刊物、辦公網(wǎng)絡等渠道，獲取內(nèi)部信息。

企業(yè)可以通過行業(yè)協(xié)會組織、社會中介機構、業(yè)務往來單位、市場調(diào)查、

來信來訪、網(wǎng)絡媒體以及有關監(jiān)管部門等渠道，獲取外部信息。

（-）信息的分類：按來源分內(nèi)部信息和外部信息

（三）信息收集

1、信息收集的含義

信息收集就是將企業(yè)內(nèi)部和外部的原始數(shù)據(jù)收集起來，簡單加工成企業(yè)

需要的信息。信息收集是信息處理和傳遞的基礎，是整個企業(yè)信息工作的源

頭。

2、信息收集的內(nèi)容：財務會計資料和非財務會計資料。非財務會計資

料主要包括：（1）生產(chǎn)調(diào)度記錄；（2）統(tǒng)計報表；（3）市場調(diào)查；（4）調(diào)研

報告；（5）內(nèi)部刊物；（6）政府出版物；

（四）信息處理

信息處理就是將收集到的信息經(jīng)過專業(yè)化的加工，使之成為內(nèi)部控制需

要的信息。

三、溝通

（-）《基本規(guī)范》對溝通的要求

《基本規(guī)范》第四十條規(guī)定，企業(yè)應當將內(nèi)部控制相關信息在企業(yè)內(nèi)部

各管理級次、責任單位、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權人、

客戶、供應商、中介機構和監(jiān)管部門等有關方面之間進行溝通和反饋。信息

溝通過程中發(fā)現(xiàn)的問題，應當及時報告并加以解決。

重要信息應當及時傳遞給董事會、監(jiān)事會和經(jīng)理層。

（二）溝通的概念

溝通是指組織成員之間、組織成員與外部公眾或社會組織之間旨在完成

組織目標而進行信息發(fā)送、接收與反饋的全過程。

（三）溝通的分類

1、按溝通在組織中運行途徑的不同，溝通審核員分為正式溝通和非正

式溝通；

2、根據(jù)信息載體的不同，溝通可分為語言溝通和非語言溝通；

3、按其所所涉及的范圍，溝通可分為人際溝通、群體溝通和組際溝通；

4、按溝通的方向分，溝通可分為向上溝通、向下溝通和水平溝通。

（四）溝通的控制

企業(yè)必須按照某種形式在某個時間之內(nèi)辨別、獲取有效信息，并加以溝

通，使企業(yè)內(nèi)部每一個員工能夠順利履行其職責。

四、信息系統(tǒng)

（-）《基本規(guī)范》對信息系統(tǒng)的要求

《基本規(guī)范》第四十一條規(guī)定，企業(yè)應當利用信息技術促進信息的集成

與共享，充分發(fā)揮信息技術在信息與溝通中的作用。

企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、

文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。

（二）信息系統(tǒng)的概念

系統(tǒng)是一個有機整體，由為實現(xiàn)某個目的或者目標而共同工作的若干相

互影響的部分組成。系統(tǒng)有三要素：輸入、處理和輸出。信息系統(tǒng)就是一個

幫助人們實現(xiàn)決策目標，由對數(shù)據(jù)的收集、輸入、處理、存儲、管理和控制

所構成的人造系統(tǒng)。信息系統(tǒng)如想對內(nèi)部控制起到很好的作用，就必須同時

滿足及時性和準確性要求。

（三）信息系統(tǒng)開發(fā)的條件

1、信息系統(tǒng)開始需要領導的重視；

2、需要各個部門的支持；

3、需要組建一支專業(yè)化的開發(fā)隊伍；

4、企業(yè)要具備一定的資金實力。

（四）開發(fā)方式的選擇

開發(fā)方式有自行開發(fā)、委托開發(fā)、合作開發(fā)、咨詢開發(fā)和外購軟件等

（五）信息系統(tǒng)的維護

系統(tǒng)維護是指在系統(tǒng)運行過程中，為了適應系統(tǒng)環(huán)境的變化，滿足新需

要，使系統(tǒng)能夠持續(xù)、正常地運行而從事的各項管理活動。

（六）信息系統(tǒng)的安全控制

1、物理安全控制

2、權限控制

3、操作系統(tǒng)的安全準則

4、文檔的安全管理

5、數(shù)據(jù)加密

6、防病毒和黑客

五、反舞弊機制

(-)《基本規(guī)范》對反舞弊機制的要求

建立反舞弊機制是保障內(nèi)部控制有效的基礎。

《基本規(guī)范》第四十二條規(guī)定，企業(yè)應當建立反舞弊機制，堅持懲防并

舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環(huán)節(jié)和有關機構在

反舞弊工作中的職責權限，規(guī)范舞弊案件的舉報、調(diào)查、處理、報告和補救

程序。

企業(yè)至少應當將下列情形作為反舞弊工作的重點：

(-)未經(jīng)授權或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，牟取不當

利益。

(二)在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述

或者重大遺漏等。

(三)董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權。

(四)相關機構或人員串通舞弊。

(-)舞弊控制機制

1、舞弊的含義

舞弊是指組織內(nèi)外人員采用欺騙等違法手段，損害或謀取組織經(jīng)濟利益,

同時可能為個人帶來不正當利益的行為。

2、舞弊的分類

(1)損害組織經(jīng)濟利益的舞弊

（2）謀取組織經(jīng)濟利益的舞弊

（三）信息披露

1、信息披露的含義

信息披露是指企業(yè)根據(jù)國家法律法規(guī)及有關監(jiān)管規(guī)則，結(jié)合自身經(jīng)營管

理需要，強制或自愿披露所有重要事件和交易事項信息。企業(yè)需要披露的信

息可以分財務信息和非財務信息。

2、當前企業(yè)信息披露存在的問題

（1）披露的信息不真實；（2）披露不充分；（3）披露不連續(xù)不及時。

3、信息披露的內(nèi)部控制

信息披露的內(nèi)部控制最基本的措施就是建立崗位責任制和授權審批制

度，明確職和權限。

（四）職務分離

（1）授權與執(zhí)行要分離；（2）執(zhí)行與審批要分離；（3）執(zhí)行與記錄要

分離；（4）保管與記錄要分離；（5）執(zhí)行與保管要分離。

同時職務分離在執(zhí)行過程中要注意回避原則。

六、舉報投訴制度和舉報人保護制度

（一）《基本規(guī)范》對舉報投訴制度和舉報人保護制度的要求

《基本規(guī)范》第四十三條規(guī)定，企業(yè)應當建立舉報投訴制度和舉報人保

護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結(jié)要求，確

保舉報、投訴成為企業(yè)有效掌握信息的重要途